Conociendo la técnica de Data Encrypted for Impact ID: T1486

Introducción

Hoy es el turno de analizar una de las técnicas que representan una amenaza considerable para la audiencia: el ransomware. Hoy, abordaremos específicamente el ID:1486 Data Encrypted for Impact” (DEI), también conocido simplemente como DEI.

Según el marco de MITRE ATT&CK, los Ciberdelincuentes tienen la capacidad de cifrar datos tanto en sistemas individuales como en múltiples sistemas dentro de una red, interrumpiendo así la disponibilidad de los recursos del sistema y de la red.

El método empleado incluye hacer inaccesibles los datos almacenados, cifrando archivos o datos en unidades locales y remotas, y negando el acceso a una clave de descifrado. El objetivo de esta acción puede variar: desde buscar una compensación monetaria a cambio de la clave de descifrado (una táctica común en los ataques de ransomware), hasta el propósito de hacer que los datos sean permanentemente inaccesibles, en los casos en que la clave no se guarde o transmita.

De forma lógica sería:

Adversario identifica el sistema objetivo: El primer paso en el proceso, donde el adversario identifica el sistema que desea atacar.
Adversario gana acceso al sistema: El adversario encuentra una manera de infiltrarse en el sistema objetivo.
Adversario identifica los datos críticos: Una vez dentro del sistema, el adversario identifica los datos que son críticos para la operación normal del sistema.
Adversario cifra los datos críticos: El adversario cifra los datos críticos, haciéndolos inaccesibles para la víctima.
Adversario demanda un rescate a la víctima: El adversario contacta a la víctima para informarle sobre el ataque y demandar un rescate, generalmente en forma de criptomonedas, para proporcionar la clave de descifrado.

En el contexto del Ransomware, es común que se cifren archivos de usuario como documentos de Office, PDFs, imágenes, vídeos, archivos de audio, texto y archivos de código fuente. A menudo, estos archivos se renombran y/o se etiquetan con marcadores específicos. Para ejecutar este tipo de ataque, los agresores pueden necesitar modificar primero otros aspectos, como los permisos de archivos y directorios, o incluso reiniciar el sistema para poder manipular estos archivos de manera más efectiva. En situaciones más extremas, pueden cifrarse archivos críticos del sistema, particiones de disco y el MBR.

Adversarios conocidos que han utilizado DEI incluyen:

APT41, Avaddon, Babuk, Bad Rabbit, BitPaymer, C0015, Clop, Conti, Cuba, DCSrv, DEATHRANSOM, Diavol, Egregor, EKANS, FIN7, FIVEHANDS, HELLOKITTY, Indrik Spider, JCry, KillDisk, LockerGoga, Maze, MegaCortex, Netwalker, NotPetya, Pay2Key, ProLock, Pysa, Ragnar Locker, REvil, RobbinHood, Ryuk, SamSam, Seth-Locker, Shamoon, SynAck, TA505, ThiefQuest, WannaCry, WastedLocker, Xbash, XCSSET.Puedes consultar más en: https://attack.mitre.org/techniques/T1486/

Desarrollo

Primero buscaré la creación de una regla Yara para sistemas Windows 11. La regla YARA mejorada incluye metadatos adicionales y verifica más condiciones específicas para identificar el ransomware DEI en sistemas Windows.

Identificación Precisa de Amenazas

Las reglas YARA permiten a los equipos de seguridad informática crear firmas detalladas para identificar malware específico, incluido el ransomware, con un grado de precisión muy elevado. Esto se traduce en una identificación más rápida y precisa de las amenazas, minimizando los falsos positivos y permitiendo una respuesta más eficiente ante incidentes de seguridad.

Personalización y Adaptabilidad

Las reglas YARA son altamente configurables y personalizables, permitiendo a los analistas ajustarlas según las necesidades específicas de su entorno y adaptarse rápidamente a nuevas amenazas. Esto otorga a los equipos de seguridad una herramienta flexible y poderosa que puede evolucionar al ritmo que lo hace el panorama de amenazas.

Integración con Otras Herramientas de Seguridad

Las reglas YARA pueden integrarse con una amplia variedad de soluciones de seguridad, incluidos los sistemas de detección y prevención de intrusiones (IDS/IPS), gateways seguros de correo electrónico y más. Esto permite una estrategia de defensa en profundidad, donde YARA sirve como un componente crucial en la identificación de ransomware y otras amenazas.

Proactividad

Al permitir la creación de firmas basadas en el análisis profundo del comportamiento y las características de las variantes conocidas de ransomware, las reglas YARA facilitan una postura proactiva frente a la ciberseguridad. Esto significa que se pueden identificar y detener las amenazas antes de que tengan la oportunidad de causar daño, protegiendo los datos y sistemas críticos de la organización.

Regla Yara

Sección meta

En esta sección, agregamos metadatos adicionales para describir mejor la regla.

Sección strings

Agregamos una sección de strings para definir patrones específicos (strings o secuencias de bytes) que queremos buscar en los archivos que estamos escaneando. Definimos tres strings:

$mz: Una secuencia de bytes que representa la firma MZ, que es común en los archivos ejecutables de Windows (es la “firma” con la que comienzan estos archivos).
$crypt_import1: Una cadena que representa la función CryptEncrypt, que podría ser exportada por un archivo malicioso.
$crypt_import2: Una cadena que representa la función CryptDecrypt, que también podría ser exportada por un archivo malicioso.

Sección condition

Aquí especificamos las condiciones bajo las cuales queremos que la regla genere una alerta. Las condiciones son:

(uint16(0) == 0x5A4D): Verifica que los primeros dos bytes del archivo sean “5A 4D”, que es la firma MZ mencionada anteriormente, indicando un archivo ejecutable de Windows.
(filesize < 100MB): Restringe la búsqueda a archivos que sean menores que 100 MB para evitar el análisis de archivos muy grandes que podrían ralentizar el escaneo.
(pe.imports(“Advapi32.dll”) or pe.imports(“Crypt32.dll”)): Verifica si el archivo importa funciones de las DLLs “Advapi32.dll” o “Crypt32.dll”, que son bibliotecas conocidas usadas en Windows y que a menudo son usadas por ransomware y otros tipos de malware.
(pe.exports($crypt_import1) or pe.exports($crypt_import2)): Verifica si el archivo exporta las funciones CryptEncrypt o CryptDecrypt, lo que puede ser un indicador de actividad maliciosa.
($mz at 0): Este es un chequeo adicional para asegurarse de que la firma MZ está exactamente al principio del archivo, corroborando aún más que es un archivo ejecutable de Windows.

Considerando lo anterior y pensando en los archivos que se manejan a nivel de Windows se modifica la regla anterior para detectar archivos de microsoft office comunes.

Considerando lo anterior se me ocurrió añadir una comprobación para archivos cifrados específicos, como .docx, .doc, .xls, .xlsx, .ppt, y .pptx a la regla Yara anterior para detectar Data Encrypted for Impact (DEI) en sistemas Windows 11 y archivos comunes de Office 2022.

Inicialmente, la estrategia anterior presentaba un alto índice de detección, pero lamentablemente, también generaba un gran número de falsos positivos (Rate vs Accuracy). Tras conversaciones y consultas con otros expertos en el campo, se ha revisado y ajustado la regla anterior.

Ahora, se ha propuesto sustituir las extensiones comunes incluidas en la regla Yara original con una lista de extensiones típicamente utilizadas por el ransomware para identificar casos de “Data Encrypted for Impact” (DEI) en sistemas Windows 11, así como archivos de Office 2022 con extensiones cifradas. No obstante, es fundamental tener en cuenta que debido a la constante evolución de los ciberataques, no existe una lista definitiva de extensiones que abarque a todos los ransomware. Por lo tanto, es esencial mantenerse al día con las últimas campañas y ajustar la lista de extensiones de manera oportuna y pertinente.

Algunas extensiones comunes de ransomware:

micro (TeslaCrypt 3.0)
zepto (Locky)
cerber (Cerber)
locky (Locky)
cerber3 (Cerber 3)
cryp1 (CryptXXX)
mole (CryptoMix)
onion (Dharma)
axx (AxCrypt)
osiris (Locky)
crypz (CryptXXX)
crypt (Scatter)
locked (Varios)
odin (Locky)
ccc (TeslaCrypt o Cryptowall)
cerber2 (Cerber 2)
sage (Sage)
globe (Globe)
exx (Alpha Crypt)
good (Scatter)
wallet (Globe 3)
1txt (Enigma)
decrypt2017 (Globe 3)
encrypt (Alpha)
ezz (Alpha Crypt)
zzzzz (Locky)
MERRY (Merry X-Mas)
enciphered (Malware)
r5a (7ev3n)
aesir (Locky)
ecc (Cryptolocker o TeslaCrypt)
enigma (Coverton)
cryptowall (Cryptowall)
encrypted (Varios)
loli (LOLI RanSomeWare)
breaking_bad (Files1147 @ gmail.com)
coded (Anubis)
ha3 (El-Polocker)
damage (Damage)
wcry (WannaCry)
lol! (GPCode)
cryptolocker (CryptoLocker)
dharma (CrySiS)
MRCR1 (Merry X-Mas)
sexy (PayDay)
crjoker (CryptoJoker)
fantom (Fantom)
keybtc@inbox_com (KeyBTC)
rrk (Radamant v2)
legion (Legion)
kratos (KratosCrypt)
LeChiffre (LeChiffre)
kraken (Rakhni)
zcrypt (ZCRYPT)
maya (HiddenTear)
enc (TorrentLocker)
file0locked (Evil)
crinf (DecryptorMax o CryptInfinite)
serp (Serpent)
potato (Potato)
ytbl (Troldesh)
surprise (Surprise)
angelamerkel (Angela Merkel)
windows10 (Shade)
lesli (CryptoMix)
serpent (Serpent)
PEGS1 (Merry X-Mas)
dale (Chip)
pdcr (PadCrypt)
zzz (TeslaCrypt)
xyz (TeslaCrypt)
1cbu1 (Princess Locker)
venusf (Venus Locker)
coverton (Coverton)
thor (Locky)
rnsmwr (Gremit)
evillock (Evil-JS)
R16m01d05
wflx (WildFire)
nuclear55 (Nuke)
darkness (Rakhni)
encr (FileLocker)
rekt (RektLocker)
kernel_time (KeRanger)
zyklon (ZYKLON)
Dexter (Troldesh)
locklock (LockLock)
cry (CryLocker)
VforVendetta (Samsam)
btc (Jigsaw)
raid10 (Globe)
dCrypt (DummyLocker)
zorro (Zorro)
AngleWare (HiddenTear/MafiaWare)
EnCiPhErEd (Xorist)
purge (Globe)
realfs0ciety @ sigaint.org.fs0ciety (Fsociety)
shit (Locky)
atlas (Atlas)
exotic (Exotic)
crypted (Nemucod)
padcrypt (PadCrypt)
xxx (TeslaCrypt 3.0)
hush (Jigsaw)
bin (Alpha/Alfa)
vbransom (VBRansom 7)
RMCM1 (Merry X-Mas)
cryeye (DoubleLocker)
unavailable (Al-Namrood)
braincrypt (Braincrypt)
fucked (Manifestus)
crypte (Jigsaw)
_AiraCropEncrypted (AiraCrop)
stn (Satan)
paym (Jigsaw)
spora (Spora)
dll (FSociety)
RARE1 (Merry X-Mas)
alcatraz (Alcatraz Locker)
pzdc (Scatter)
aaa (TeslaCrypt)
encrypted (Donald Trump)
ttt (TeslaCrypt 3.0)
odcodc (ODCODC)
vvv (TeslaCrypt 3.0)
ruby (Ruby)
pays (Jigsaw)
comrade (Comrade)
enc (Cryptorium)
abc (TeslaCrypt)
xxx (help_dcfile)
antihacker2017 (Xorist)
herbst (Herbst)
szf (SZFLocker)
rekt (RektLocker)
bript (BadEncriptor)
crptrgr (CryptoRoger)
kkk (Jigsaw)
rdm (Radamant)
BarRax (BarRax)
vindows (Vindows Locker)
helpmeencedfiles (SamSam)
hnumkhotep (Globe 3)
CCCRRRPPP (Unlock92)
kyra (Globe)
fun (Jigsaw)
rip (KillLocker)
73i87A (Xorist)
bitstak (Bitstak)
kernel_complete (KeRanger)
payrms (Jigsaw)
a5zfn (Alma Locker)
perl (Bart)
noproblemwedecfiles (SamSam)
lcked (Jigsaw)
p5tkjw (Xorist)
paymst (Jigsaw)
magic (Magic)
payms (Jigsaw)
d4nk (PyL33T)
SecureCrypted (Apocalypse)
paymts (Jigsaw)
kostya (Kostya)
lovewindows (Globe)
madebyadam (Roga)
powerfulldecrypt (SamSam)
gefickt (Jigsaw)
kernel_pid (KeRanger)
ifuckedyou (SerbRansom)
grt (Karmen)
conficker (Conficker)
edgel (EdgeLocker)
PoAr2w (Xorist)
oops (Marlboro)
adk (Angry Duck)
encrypted (KeRanger)
Whereisyourfiles (SamSam)
czvxce (Coverton)
theworldisyours (SamSam)
info (PizzaCrypts)
razy (Razy)
rmd (Zeta)
fun (Jigsaw)
kimcilware (KimcilWare)
paymrss (Jigsaw)
dxxd (DXXD)
pec (PEC 2017)
rokku (Rokku)
lock93

Sigma rules

Pero esto también podríamos pensarlo a nivel de BLUETEAM y llevarlo a un SIEM por ejemplo para ello convertiremos la regla Yara en una regla Sigma, que quedaría de la siguiente manera de una manera básica.

Beneficios para un equipo de Blue Team:

Normalización de Reglas: Sigma permite crear reglas de una manera que es independiente del SIEM específico que estás utilizando. Esto facilita compartir reglas y colaborar con otros, sin importar las diferencias en los entornos y herramientas de SIEM.
Facilita la Detección de Amenazas: Al utilizar reglas bien definidas, el equipo de Blue Team puede identificar más rápidamente potenciales indicadores de compromiso (IoC) y tomar medidas para investigar y mitigar amenazas.
Mitigación de Falsos Positivos: Al definir reglas claras y especificar condiciones para los falsos positivos, puedes reducir el número de alertas falsas que tu equipo necesita investigar, permitiéndote centrarte en las amenazas reales.
Integración con el Marco de MITRE ATT&CK: Puedes referenciar específicamente técnicas y tácticas del marco de MITRE ATT&CK en tus reglas Sigma, lo que puede ayudarte a rastrear más efectivamente las tácticas y técnicas que los atacantes están utilizando y a responder más estratégicamente.
Facilita el Mantenimiento y la Actualización de Reglas: Al utilizar un lenguaje de reglas estándar como Sigma, puedes mantener y actualizar tus reglas de una manera más estructurada, lo que facilita mantener tu sistema de detección de amenazas actualizado y efectivo.

Explicación y Mejoras:

Description: La descripción se ha ampliado para proporcionar más detalles sobre lo que la regla está diseñada para detectar y por qué es importante.
Fields: Agregué una sección fields para listar explícitamente los campos que se deben considerar en la consulta.
False Positives: Expandí la sección de falsos positivos para considerar otros escenarios donde se pueden crear archivos con estas extensiones por razones legítimas.
Tags: Añadí etiquetas relacionadas con el marco MITRE ATT&CK para categorizar la regla según las técnicas y tácticas que los atacantes pueden usar y que esta regla puede ayudar a detectar. Específicamente, añadí etiquetas relacionadas con la evasión de defensa, la exfiltración de datos, y un ID de táctica para el archivado de datos coleccionados a través de un método personalizado (T1564.001).

Nota: Las extensiones se agregan a gusto del consumidor.

SPLUNK

Splunk es una plataforma avanzada que permite la búsqueda, monitoreo y análisis de datos de máquinas generados por aplicaciones, sistemas y dispositivos de TI. Es ampliamente utilizado para fines de Big Data y Business Intelligence, ayudando a las empresas a obtener insights operacionales y de negocio a partir de sus datos.

ELASTIC

Elasticsearch es un motor de búsqueda y análisis de código abierto basado en Lucene. Se usa comúnmente junto con Logstash (un servidor de ingesta de datos) y Kibana (un visor de datos y dashboard) — colectivamente conocidos como la pila ELK. Elastic permite a los usuarios buscar, analizar y visualizar grandes volúmenes de información en tiempo real.

QRADAR

IBM QRadar es una solución de SIEM que proporciona colección de logs, análisis y correlación de eventos para identificar actividades maliciosas y/o violaciones de políticas de seguridad. Ofrece capacidades de análisis de seguridad avanzado y de inteligencia contra amenazas.

Notas:

Elastic:Asumiendo que event_id y target_filename.keyword son los nombres de los campos que contienen el ID del evento y el nombre del archivo objetivo, respectivamente. Por favor, verifica y ajusta los nombres de los campos según tu configuración específica.
Splunk:Asumiendo que estás utilizando el índice wineventlog para almacenar tus logs de Windows. Necesitarás ajustar esto según tu entorno específico.
QRadar:Aquí estoy utilizando funciones de cadena SQL para comparar el final del nombre del archivo con las extensiones especificadas. Es posible que necesites ajustar los nombres de campo y las descripciones QID según tu configuración.

Conclusión

En conclusión, la regla Yara y la regla AQL que se describieron anteriormente son herramientas útiles para detectar ataques de cifrado de ransomware. Ambos utilizan un conjunto de condiciones específicas para buscar características en los archivos que pueden indicar el uso de técnicas de cifrado maliciosas. Sin embargo, es importante tener en cuenta que estas reglas son solo una parte de un enfoque más amplio de seguridad. Es esencial utilizar varias herramientas y prácticas de seguridad para proteger adecuadamente un sistema contra los ataques de cifrado de ransomware. Esto incluye la implementación de políticas y procedimientos de seguridad sólidos, la realización de copias de seguridad regulares y la educación continua del personal sobre las mejores prácticas de seguridad. Además, es importante tener en cuenta que estas reglas son solo una herramienta de detección, y es necesario contar con un sistema de respuesta y recuperación ante una posible infección de ransomware.

Fuentes

https://attack.mitre.org/techniques/T1486/
https://www.picussecurity.com/resource/the-most-common-ransomware-ttp-mitre-attck-t1486-data-encrypted-for-impact
“Ransomware: What You Need to Know.” Federal Bureau of Investigation, FBI, www.fbi.gov/news/stories/ransomware-what-you-need-to-know.
“Ransomware: The Growing Threat.” McAfee, McAfee, www.mcafee.com/en-us/resources/white-papers/wp-ransomware-the-growing-threat.pdf.
“Ransomware: A Growing Threat.” Symantec, www.symantec.com/content/en/us/enterprise/other_resources/b-istr_ransomware_03072012.en-us.pdf.
“Ransomware: An Executive Guide to One of the Largest Menaces on the Internet.” Cisco, Cisco, www.cisco.com/c/en/us/about/security-center/ransomware-executive-guide.html.
“Ransomware: How to Protect Your Business.” Trend Micro, www.trendmicro.com/vinfo/us/security/definition/ransomware.
“Ransomware and Businesses: What You Need to Know.” Norton, Norton by Symantec, us.norton.com/internetsecurity-ransomware-what-you-need-to-know.html.
“Ransomware: What You Need to Know.” National Cyber Security Alliance, StaySafeOnline, staysafeonline.org/stay-safe-online/protect-your-computer/ransomware.
“Ransomware: A Growing Threat to Businesses and Consumers.” Kaspersky, www.kaspersky.com/resource-center/threats/ransomware.
“Ransomware: The Evolution of a Growing Threat.” FireEye, www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-ransomware-evolution.pdf.
https://blogdelciso.com/chatgpt-para-ciberseguridad-defensiva-blueteam-cap%C3%ADtulo-n-3-data-encrypted-for-impact-id-t1486-f81f50d862bd